Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Mozilla Firefox <= 29 Mozilla Firefox ESR <= 24.5 Netscape Portable Runtime (NSPR) <= 4.10.5 Mozilla Thunderbird <= 24.5 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows Durch mehrere Schwachstellen in den Mozilla-Anwendungen Firefox, Firefox ESR und Thunderbird kann ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode ausführen, Clickjacking betreiben oder Denial-of-Service-Angriffe durchführen Patch: Mozilla Foundation Security Advisory MFSA 2014-48 http://www.mozilla.org/security/announce/2014/mfsa2014-48.html
Patch:
Mozilla Foundation Security Advisory MFSA 2014-49
http://www.mozilla.org/security/announce/2014/mfsa2014-49.html
Patch:
Mozilla Foundation Security Advisory MFSA 2014-50
http://www.mozilla.org/security/announce/2014/mfsa2014-50.html
Patch:
Mozilla Foundation Security Advisory MFSA 2014-51
http://www.mozilla.org/security/announce/2014/mfsa2014-51.html
Patch:
Mozilla Foundation Security Advisory MFSA 2014-52
http://www.mozilla.org/security/announce/2014/mfsa2014-52.html
Patch:
Mozilla Foundation Security Advisory MFSA 2014-53
http://www.mozilla.org/security/announce/2014/mfsa2014-53.html
Patch:
Mozilla Foundation Security Advisory MFSA 2014-54
http://www.mozilla.org/security/announce/2014/mfsa2014-54.html
Patch:
Mozilla Foundation Security Advisory MFSA 2014-55
http://www.mozilla.org/security/announce/2014/mfsa2014-55.html
CVE-2014-1545: Speichern außerhalb der Puffergrenzen in Mozilla Netscape
Portable Runtime
Es existiert eine Schwachstelle in Mozilla Netscape Portable Runtime, die
das Speichern von Daten außerhalb von Puffergrenzen ermöglicht. Ein
entfernter, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe durchführen oder beliebigen Programmcode
ausführen.
CVE-2014-1543: Pufferüberlauf in der Gamepad-API von Mozilla Firefox
Es existiert eine Pufferüberlauf-Schwachstelle bei der Benutzung eines
physisches oder eines virtuellen Gamepad-Geräts in der Gamepad-API von
Mozilla Firefox in Verbindung mit Microsoft Windows 8. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode ausführen oder
Denial-of-Service-Angriffe durchführen.
CVE-2014-1542: Pufferüberlauf-Schwachstelle in Mozilla Firefox
Es existiert eine Pufferüberlauf-Schwachstelle im Speex-Resampler im
Web-Audio Subsystem von Mozilla Firefox. Ein entfernter, nicht
authentifizierter Angreifer kann über speziell präparierte Audioinhalte
Grenzen überschreiben und damit beliebigen Programmcode ausführen oder
Denial-of-Service-Angriffe durchführen.
CVE-2014-1541: Speicherfreigabe-Schwachstelle in Mozilla Firefox und
Thunderbird
Es existiert eine Schwachstelle in der Speicherverwaltung in
“RefreshDriverTimer::TickDriver” in Mozilla Firefox, Firefox ESR und
Thunderbird. Beim Berechnen von präparierten Webinhalten kann es im
SMIL-Animation-Controller zu einer Speicherkorruption kommen. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode
ausführen oder Denial-of-Service-Angriffe durchführen.
CVE-2014-1540: Speicherfreigabe-Schwachstelle im Event-Listener-Manager in
Mozilla Firefox
Im Event-Listener-Manager von Mozilla Firefox existiert eine
Use-after-free-Schwachstelle, die durch speziellen Web-Inhalt ausgelöst
werden kann. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode ausführen oder Denial-of-Service-Angriffe
durchführen.
CVE-2014-1539: Clickjacking-Schwachstelle bei der Nutzung von Flash Objekten
in Mozilla Firefox und Thunderbird
Es existiert eine Schwachstelle in Mozilla Firefox und Thunderbird, in der
der Cursor nach der Nutzung eines Flash Objekts unsichtbar gemacht wird.
Durch die Kombination mit JavaScript kann dadurch “Clickjacking” betrieben
werden. Ein entfernter, nicht authentifizierter Angreifer kann
Clickjacking-Angriffe durchführen.
CVE-2014-1538: Speicherfreigabe-Schwachstelle in Mozilla Firefox und
Thunderbird
Es existiert eine Schwachstelle aufgrund der Benutzung bereits freigegebenen
Speichers in “nsTextEditRules::CreateMozBR” in Mozilla Firefox, Firefox ESR
und Thunderbird. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode ausführen.
CVE-2014-1537: Speicherfreigabe-Schwachstelle in Mozilla Firefox
Es existiert eine Schwachstelle aufgrund der Benutzung bereits freigegeben
Speichers in “mozilla::dom::workers::WorkerPrivateParent” in Mozilla Firefox
29. Ein entfernter, nicht authentifizierter Angreifer kann beliebigen
Programmcode ausführen.
CVE-2014-1536: Schwachstelle in der Speicherverwaltung in Mozilla Firefox
Es existiert eine Schwachstelle in der Speicherbehandlung in
“PropertyProvider::FindJustificationRange” in Mozilla Firefox. Ein
entfernter, nicht authentifizierter Angreifer kann beliebigen Programmcode
ausführen.
CVE-2014-1534: Memory-Safety-Schwachstelle in Mozilla Firefox
In Mozilla Firefox können Speicherfehler auftreten, die einen Absturz der
Anwendung oder die Ausführung von Programmcode verursachen können. Ein
entfernter, nicht authentifizierter Angreifer kann
Denial-of-Service-Angriffe durchführen oder beliebigen Programmcode zur
Ausführung bringen.
CVE-2014-1533: Memory-Safety-Schwachstelle in Mozilla Firefox und
Thunderbird
In Mozilla Firefox, Firefox ESR und Thunderbird können Speicherfehler
auftreten, die einen Absturz der Anwendung oder die Ausführung von
Programmcode verursachen können. Ein entfernter, nicht authentifizierter
Angreifer kann Denial-of-Service-Angriffe durchführen oder beliebigen
Programmcode zur Ausführung bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0743/
Mozilla Foundation Security Advisory MFSA 2014-48:
http://www.mozilla.org/security/announce/2014/mfsa2014-48.html
Mozilla Foundation Security Advisory MFSA 2014-49:
http://www.mozilla.org/security/announce/2014/mfsa2014-49.html
Mozilla Foundation Security Advisory MFSA 2014-50:
http://www.mozilla.org/security/announce/2014/mfsa2014-50.html
Mozilla Foundation Security Advisory MFSA 2014-51:
http://www.mozilla.org/security/announce/2014/mfsa2014-51.html
Mozilla Foundation Security Advisory MFSA 2014-52:
http://www.mozilla.org/security/announce/2014/mfsa2014-52.html
Mozilla Foundation Security Advisory MFSA 2014-53:
http://www.mozilla.org/security/announce/2014/mfsa2014-53.html
Mozilla Foundation Security Advisory MFSA 2014-54:
http://www.mozilla.org/security/announce/2014/mfsa2014-54.html
Mozilla Foundation Security Advisory MFSA 2014-55:
http://www.mozilla.org/security/announce/2014/mfsa2014-55.html
Schwachstelle CVE-2014-1533 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1533
Schwachstelle CVE-2014-1534 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1534
Schwachstelle CVE-2014-1536 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1536
Schwachstelle CVE-2014-1537 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1537
Schwachstelle CVE-2014-1538 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1538
Schwachstelle CVE-2014-1539 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1539
Schwachstelle CVE-2014-1540 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1540
Schwachstelle CVE-2014-1541 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1541
Schwachstelle CVE-2014-1542 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1542
Schwachstelle CVE-2014-1543 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1543
Schwachstelle CVE-2014-1545 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1545
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
